Selon le Contrôleur européen de la protection des données (CEPD), la Commission européenne a enfreint, dans son utilisation de Microsoft 365, certaines règles de protection clés du règlement sur le traitement des données à caractère personnel par les institutions (à ne pas confondre avec le RGPD). La commission a jusqu'au 9 décembre pour se mettre en règle.
Lundi 11 mars, le CEPD, l’autorité de contrôle indépendante des institutions européennes sur la protection des données, a épinglé la Commission européenne elle-même, car elle n'a pas respecté le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union.
C'est le résultat de son enquête sur l'utilisation de Microsoft 365 par la Commission menée depuis mai 2021, après l'arrêt Schrems II.
Des données personnelles traitées en dehors de l'UE pas assez protégées
Dans son communiqué, le CEPD explique que la Commission n'a pas prévu, dans son utilisation de Microsoft 365, les garanties appropriées pour que les données à caractère personnel transférées sur les serveurs de Microsoft en dehors de l'Europe bénéficie des mêmes protections que sur le sol européen.
« En outre, dans son contrat avec Microsoft, la Commission n'a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l'utilisation de Microsoft 365 » explique le Contrôleur.
En effet, l'article 29 du règlement de 2018 impose que l'institution qui signe un contrat avec un sous-traitant doit s'assurer que le sous-traitant « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ».
Pas d'évaluation des transferts de données par la Commission
Le Contrôleur va plus loin en expliquant que la Commission « n'a pas évalué, ni avant le début des transferts ni par la suite, quelles données à caractère personnel seront transférées à quels destinataires, dans quels pays tiers et à quelles fins, et n'a donc pas obtenu les informations minimales nécessaires pour déterminer si des mesures supplémentaires sont nécessaires pour assurer un niveau de protection essentiellement équivalent et si des mesures supplémentaires efficaces existent et pourraient être mises en œuvre ».
En conséquence, le contrat entre Microsoft et la Commission a été signé sans définition claire des transferts de données et sans qu'il y ait eu d'évaluation de l'impact de ces transferts. Tout ceci est encore contraire au règlement de 2018.
En effet, le règlement dit explicitement que l'administration cliente, ici la Commission, doit faire respecter à ses prestataires, ici Microsoft, les principes édictés par la Commission elle-même sur la protection des données.
Il lui reproche aussi de ne pas avoir mis en œuvre de mesures supplémentaires efficaces pour les transferts vers les États-Unis effectués avant l'entrée en vigueur de nouvelles garanties données par le gouvernement américain et la nouvelle décision « d'adéquation » prise par la Commission en juillet 2023. Celle-ci valide les accords de confidentialité sur les données personnelles entre les États-Unis et l'Europe.
Wojciech Wiewiórowski, à la tête du CEPD, rappelle qu' « il incombe aux institutions, organes et organismes de l'UE de veiller à ce que tout traitement de données à caractère personnel en dehors et à l'intérieur de l'UE/EEE, y compris dans le contexte des services basés sur le cloud, s'accompagne de garanties et de mesures robustes en matière de protection des données ».
Il a ajouté que « cela est impératif pour garantir que les informations des individus sont protégées, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par une institution européenne, ou en son nom ».
Des corrections à faire avant le 9 décembre 2024
Le CEPD a donc ordonné à la Commission de cesser, d'ici le 9 décembre, tous les flux de données issus de son utilisation de Microsoft 365 allant vers les serveurs de Microsoft, de ses sociétés affiliées et de sous-traitants situés dans des pays n'ayant pas signé d'accord de confidentialité avec l'UE.
La Commission doit aussi cartographier les transferts de données pour identifier quelles données personnelles sont transférées à quel destinataire, à quel pays tiers, pourquoi et quelles sont les garanties. Elle doit aussi « veiller à ce que tous les transferts vers des pays tiers aient lieu uniquement pour permettre l'exécution des tâches relevant de la compétence du responsable du traitement ».
Enfin, la Commission doit, toujours avant le 9 décembre, avoir signé des contrats en bonne et due forme avec Microsoft en prenant en compte le règlement européen.
Le CEPD donne aussi un blâme à la Commission. En effet, comme les CNIL nationales, le CEPD ne peut pas infliger d'amende aux institutions publiques qu'il contrôle.
Selon Euractiv, un porte-parole de la Commission a déclaré que « le respect de la décision du CEPD semble malheureusement susceptible de compromettre le niveau élevé actuel des services informatiques mobiles et intégrés. Cela s’applique non seulement à Microsoft, mais aussi potentiellement à d’autres services informatiques commerciaux », et que la Commission devait « d’abord analyser en détail les conclusions de la décision et les raisons sous-jacentes ».
Commentaires (24)
#1
#2
A part le bannir totalement (Office 365 pas le RGPD) de toutes façons ça va être compliqué.
#2.1
Comment peut-on laisser des données, par définition sensible, sur les serveurs d'une entité soumis au cloud act ? Surtout avec l'historique pour montrer l'absence totale de scrupule de la NSA pour se servir dessus.
Oui c'est pratique, les utilisateurs y sont habitués, et ça coûte sans doute moins cher que d'adapter des technologies souveraines. Mais à un moment il faut arrêter de faire n'importe quoi et prendre en compte le coût de l'espionnage économique par nos "alliés".
#2.2
#2.4
#2.6
On peut dire aussi que se qui est français est allemand ou espagnol. je pense pas qu'il apprécies, surtout en se moment.
#2.3
Bon après, pour comprendre il faut avoir envie de comprendre.
Parler de la NSA pour discréditer ce genre de solutions, c'est éculé; il faudrait penser à se renouveller un peu.
#2.5
Comme nos politiques qui refusent d'utiiser leurs téléphones sécurisés au profit de leur smartphone personnel.
Et oui, un collabora online ou un onlyoffice couplé à un nextcloud auto hébergé est bien loin d'un Office 365. Personne de bonne foi ne peut prétendre le contraire. Maintenant, peut-être que si la majorité ne cédait pas à la solution de facilité, on trouverait les ressources pour améliorer ces outils, plutôt que d'engraisser Microsoft.
Par contre, je ne comprends toujours pas comment on peut être assez naïf pour croire que la NSA ne va pas se servir directement chez Microsoft ou Google.
#2.9
#2.10
Par exemple, parler du pare-feu Open Office est une plaisanterie éculée.
Ça peut être éculé et toujours pertinent comme ici.
Mais je le soupçonne d'avoir utilisé le terme afin de discréditer son interlocuteur en bon défenseur de Microsoft
Historique des modifications :
Posté le 13/03/2024 à 17h57
Non, pas forcément :
Par exemple, parler du pare-feu Open Office est une plaisanterie éculée.
#2.7
"...certaines règles de protection clés du règlement sur le traitement des données à caractère personnel par les institutions (à ne pas confondre avec le RGPD)..."
#2.8
#2.11
#3
#3.1
#4
#5
#5.1
#5.2
https://www.capgemini.com/fr-fr/actualites/communiques-de-presse/capgemini-et-orange-annoncent-le-lancement-des-activites-commerciales-de-bleu-leur-future-plateforme-de-cloud-de-confiance/
Maintenant ils parlent d'une qualification Secnumcloud en 2025. On peut donc supposer que ce n'est pas si facile que ça. Et que les coûts de la version Secnumcloud vont être coquets...
#6
Ceci concerne tout organisme soumis au RGPD, ou c'est spécifique aux administrations / institutions comme la Commission européenne ?
Je pensais que c'était à l'organisme (ici Microsoft) de faire le nécessaire avec ses propres sous-traitants.
Car cela me semble difficile à faire, dans les faits. Déjà qu'il est complexe de vérifier que le règlement est respecté quad on a directement affaire à un organisme, si en plus il faut aller vérifier pour chaque sous-traitant !
#6.1
#6.2
je pense qu'il faut le dire plus explicitement dans l'article que ce n'est pas le RGPD. Je n'avais pas suivi le lien pensant que c'était le RGPD et je ne dois pas être pas le seul.
En relisant, la longue première phrase de l'article et en suivant le lien, j'ai compris mon erreur.
Merci à Jarodd pour avoir posé la question.
Historique des modifications :
Posté le 12/03/2024 à 16h53
Bonjour,
je pense qu'il faut le dire plus explicitement dans l'article que ce n'est pas le RGPD. Je n'avais pas suivi le lien pensant que c'était le RGPD et je ne dois pas être pas le seul.
En relisant, la longue première phrase de l'article et en suivant le lien, j'ai compris mon erreur.
Merci à 127.0.01 pour avoir posé la question.
#7
#7.1
Question subsidiaire : le Contrôleur européen de la protection des données (CEPD) utilise t'il Office 365 ? Ce serait le comble 🤣🤣🤣🤣